高性能OCSP服务器的实现

提出了一种OCSP服务器的实现方法,结合Hash快速查找、缓存设计和多线程计算,在保证兼容性、安全性和正确进行数字签名的前提下,缩短了平均签名时间,提高了性能。

基于LDAP目录服务的OCSP实现模型

提出一种基于LDAP目录服务的OCSP(Online Certificate Status Protocol)实现模型。新模型使用LDAP目录数据库存储OCSP响应器中的证书撤销数据,同时记录实体间证书验证关系;响应器为服务的实体提前收集验证证书的撤销信息,提前准备签名,部分减少了OCSP响应器对撤销数据库的搜索范围和签名时间。实验结果表明,这一方法降低了OCSP平均响应时间,提高了响应器的性能。

临时RSA密钥和OCSP服务器实现

OCSP服务器作为PKI基础设施的重要组成部分 ,对响应消息进行数字签名的速度是影响服务器响应速度的主要因素 .提出一种OCSP服务器的实现方案 ,利用了短周期的、临时RSA密钥 ,大大提高了OCSP服务器的性能 ,同时满足了服务器的安全要求 .

OCSP协议的改进和实现

对标准在线证书状态协议(OCSP)进行分析,发现该标准协议存在一定的局限性。在此基础上对其进行改进,改进型OCSP响应包括基本类型OCSP回复和A类型OCSP回复。改进型OCSP响应器采用预签名技术,能提高性能且有效抵御重传攻击。对该响应器进行效率和安全性分析。实验结果表明,改进后的响应器的平均响应时间减少27%,提高了响应器的响应速度。

基于改进型OCSP的交叉认证方案

针对在线证书状态协议(OCSP)存在的安全、证书信息源及响应器寻址等问题,提出一种改进型OCSP协议以及一个用于交叉认证系统的设计方案。该方案提高了响应器的性能,在检测证书状态的同时还可建立证书路径并验证其是否有效,避免了因信任域结构不同产生的构建证书路径难的问题。

一种改进的OCSP证书撤销方案

在WPKI中,无线终端设备必须验证服务器证书是否己经撤销。撤销验证是一个复杂的处理过程,因此要选择一个代价较小、简单可靠、适合无线环境的撤销验证方案。在已有的OCSP(On-line Certificate Status Protocol)方案基础上提出一种新的方案,称之为改进的OCSP方案。它是对OCSP协议的改进,能够用较小的代价获得证书的实时状态。给出了这种方案的详细设计,并和其他方案进行了比较。

高性能OCSP系统的设计与实现

在对在线证书状态协议(OCSP)深入分析的基础上,针对目前OCSP协议并没有规定响应器用来检索证书状态的信息源以及大量请求到达OCSP响应器易造成其崩溃等问题,利用CA证书库作为OCSP响应器的信息源并采用Hash表缓存机制、预签名技术和多线程机制,提出了一种高性能OCSP系统的实现方案。该方案极大提高了OCSP响应的正确性和及时性。

基于增强型IKEv2的IPSec VPN网关设计

IKE(Internet Key Exchange)协议是IPsec协议簇的重要组成部分,用来动态地建立和维护安全关联SA,是IPsec VPN安全传输的先决条件和保证。在研究IKEv2协议的基础上,将公钥基础设施PKI体系引入其中,对在IKEv2中使用PKI身份认证进行研究。并针对IKEv2中数据通信的特点,将在线证书状态协议OCSP(Online Certificate Status Protocol)与IKEv2协议结合起来,设计了一个基于PKI身份认证的增强型IKEv2协议,从而有效提高系统的效率和部署的可扩展性。最后给出了一个基于Linux2.6内核的IPSec-VPN设计方案。

一个基于快表的PMI+PKI访问控制框架

提出了一种基于快表机制的PMI+PKI安全访问控制模型。该方案通过使用带有缓冲功能的快表机制,使应用PMI+PKI技术的Web站点自身具有验证证书状态和分配权限的功能,从而使大量的验证工作可以就地进行,避免证书多级认证造成的网络瓶颈和减轻了CA的负担。